Die Verwendung einer übergeordneten Domain-Suche in dhclient + resolvconf scheint anzuhängen?
1158
gertvdijk
Auf meinem Ubuntu 16.04-Computer verwende ich DHCP, um eine IP-Adresse vom Router meines ISPs zu erhalten. Es antwortet mit DNS-Servern und DNS-Suchdomänen, die ich überschreiben möchte.
Hier habe ich den DHCP-Client folgendermaßen konfiguriert:
Domänennamen-Server und / oder Suchdomäne nicht anfordern
überschreiben Sie beide domain-name-serversund, domain-searchfalls vorhanden,
Was passiert jetzt mit resolvconf:
/etc/resolv.conf:
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN nameserver 10.1.2.3 search home mydomain.tld
Beachten Sie den homeEintrag dort? Das ist es, was mir mein beschissener ISP-Router sendet, obwohl ich ihn nicht frage (bestätigt mit tcpdump siehe unten). Anscheinend hängt dhclient an, anstatt zu überschreiben, als hätte ich appendstatt verwendet supersede.
Was mache ich falsch? Ich möchte, dass dhclient die gefälschte, nicht konfigurierbare DNS-Suchdomäne ignoriert.
Ich würde dies als Sicherheitsproblem betrachten, da ich nicht möchte, dass eine gespenstische Domäne für jede DNS-Abfrage durchsucht wird, die ich auf meinem Host durchführe. Warum macht sich Dhclient auch die Mühe, Antwortoptionen zu analysieren, nach denen er nicht gefragt hat?
Informationen zur Softwareversion (alle Ubuntu 16.04 auf Lager):
ii isc-dhcp-client 4.3.3-5ubuntu12.7 ii resolvconf 1.78ubuntu4
Anstelle einer domain-name-searchOption antwortete mein ISP-Router mit einer domain-nameOption. Letzteres ist die Option zum Ersetzen.
Es scheint, dass die dhclient-resolvconf-Kombination die Informationen aus dem primären Domänennamen ( homehier) mit den Suchdomänen zusammenführt .
Immer noch zum Nachdenken offen: Warum macht sich Dhclient die Mühe, die Option zu analysieren und zu verarbeiten domain-name? Ich habe es nicht verlangt. Anscheinend muss ich alle Antworten ersetzen, die ich nicht nach diesem nicht vertrauenswürdigen Gerät gefragt habe, das mich sendet. Klingt nach einem netten Angriffsvektor hier ...